Összefoglalás
A 2021. július 13-Windows és későbbi frissítések Windows biztosítják a CVE-2021-33757-et.
A 2021. július 13-i Windows-frissítések vagy újabb Windows-frissítések telepítése után az Advanced Encryption Standard (AES) titkosítás lesz az előnyben részesített módszer az Windows-ügyfeleken a régi MS-SAMR protokoll használata esetén a jelszóművelethez, ha az SAM-kiszolgáló támogatja az AES-titkosítást. Ha az SAM-kiszolgáló nem támogatja az AES-titkosítást, a régi RC4-titkosításra való visszalépés engedélyezve lesz.
A CVE-20201-33757 módosításai az MS-SAMR protokollra jellemzőek, és függetlenek a többi hitelesítési protokolltól. Az MS-SAMR az SMB RPC-n keresztül és elnevezett vezetékeket használ. Bár az SMB szintén támogatja a titkosítást, alapértelmezés szerint nincs engedélyezve. Alapértelmezés szerint a CVE-20201-33757 módosításai engedélyezve vannak, és további biztonságot nyújtanak a SAM-rétegben. A CVE-20201-33757-20201-33757-re vonatkozó, a 2021. július 13-án Windows- vagy újabb Windows-frissítésekben szereplő frissítések telepítése után nincs szükség további konfigurációs módosításokra a Windows. A nem támogatott Windows verziókat meg kell szakítani, vagy egy támogatott verzióra kell frissíteni.
Megjegyzés: A CVE-2021-33757 csak az MS-SAMR protokoll meghatározott API-inak használata esetén módosítja a jelszavak átvitel közbeni titkosítását, és kifejezetten azt, hogy a jelszavak tárolása ne módosítható. Arról, hogy a jelszavak hogyan titkosítva vannak az Active Directoryban, illetve helyileg a SAM-adatbázisban (beállításjegyzékben) a Jelszavak áttekintése témakörben talál.
További információ
-
Jelszó-módosítási minta
A frissítések módosítják a protokoll jelszóváltozási mintáját egy új jelszó-módosítási módszerrel, amely az AES protokollt fogja használni.
Régi módszer RC4 esetén
Új módszer az AES-sel
SamrUnicodeChangePasswordUser2 (OpNum 55)
SamrUnicodeChangePasswordUser4 (OpNum 73)
Az MS-SAMR OpNums listáról az Üzenetfeldolgozási események és a Szekvenciing szabályok részen található teljes lista.
-
Jelszókészlet mintája
A frissítések módosítják a protokoll jelszókészlet-mintáját úgy, hogy két új felhasználói információs osztályt hozzáadnak a SamrSetInformationUser2 (Opnum 58) metódushoz. A jelszóadatokat az alábbiak szerint állíthatja be.
Régi módszer RC4 esetén
Új módszer az AES-sel
SamrSetInformationUser2 (Opnum 58) és UserInternal4InformationNew, amely EGY RC4-et használó titkosított felhasználói jelszót tart vissza.
SamrSetInformationUser2 (Opnum 58) és UserInternal8Information, amely az AES-hez titkosított felhasználói jelszót tart vissza.
SamrSetInformationUser2 (Opnum 58) és UserInternal5InformationNew, amely az RC4 és minden más felhasználói attribútum birtokában tartalmaz egy titkosított felhasználói jelszót.
SamrSetInformationUser2 (Opnum 58) és UserInternal7Information, amely az AES és minden más felhasználói attribútum birtokában tartalmaz egy titkosított jelszót.
A meglévő SamrConnect5-módszert általában a SAM-ügyfél és a kiszolgáló közötti kapcsolat létesítéséhez használják.
A frissített kiszolgáló mostantól egy új bitet ad vissza a SamrConnect5() válaszban a következő SAMPR_REVISION_INFO_V1.
|
Érték |
Jelentés |
|
0x00000010 |
Az ügyfél által küldött nyugtáknál ez az érték , ha be van állítva, azt jelenti, hogy az ügyfélnek SAMPR_ENCRYPTED_PASSWORD_AES-titkosítási titkosítási titkosítással kell használnia a jelszó pufferét a vezetéken keresztüli adatokat küldve. Lásd az AES Cipher-használat (3.2.2.4-esszakasz) és SAMPR_ENCRYPTED_PASSWORD_AES (2.2.6.32-es szakasz). |
Ha a frissített kiszolgáló támogatja az AES-t, az ügyfél új módszereket és új információs osztályokat fog használni a jelszóművelethez. Ha a kiszolgáló nem adja vissza ezt a jelölőt, vagy ha az ügyfél nem frissül, az ügyfél visszatér a korábbi, RC4 titkosítással használt módszerekre.
A jelszókészlet-műveletek írható tartományvezérlőt (RWDC) igényelnek. A jelszóváltozásokat a CSAK olvasható tartományvezérlő (TOC) továbbítja egy RWDC-re. Az AES csak akkor használható, ha az összes eszközt frissíteni kell. Például:
-
Ha az ügyfél, a MINTAKC vagy az RWDC nem frissül, RC4-titkosítást fog használni.
-
Ha az ügyfél, a SSLC és az RWDC frissítésre kerül, AES-titkosítást fog használni.
A 2021. július 13-i frissítések négy új eseményt is hozzáadnak a rendszernaplóhoz, így könnyebben azonosíthatók a nem frissített eszközök, és javítható a biztonság.
-
Configuration state Event ID 16982 or 16983 is logged on startup or upon a registry configuration change.
16982-es eseményazonosítóEseménynapló
Rendszer
Eseményforrás
Directory-Services-SAM
Eseményazonosító
16982
Szint
Információ
Esemény üzenetszövege
A biztonsági fiókkezelő mostantól részletes eseményeket naplóz az olyan távoli ügyfelek számára, amelyek régi jelszóváltozásokat hívnak meg vagy RPC-módszereket állítanak be. Ez a beállítás nagyszámú üzenetet okozhat, és csak rövid ideig használható a problémák diagnosztizálására.
16983-as eseményazonosítóEseménynapló
Rendszer
Eseményforrás
Directory-Services-SAM
Eseményazonosító
16983
Szint
Információ
Esemény üzenetszövege
A biztonsági fiókkezelő mostantól rendszeres összefoglaló eseményeket naplózást naplózást alkalmaz a régi jelszóváltozásokat hívó vagy RPC-módszereket beállítva távoli ügyfelek számára.
-
A 2021. július 13-i frissítés telepítése után a rendszer 60 percenként naplóz egy 16984-es összefoglaló eseményt a rendszer eseménynaplójában.
16984-es eseményazonosítóEseménynapló
Rendszer
Eseményforrás
Directory-Services-SAM
Eseményazonosító
16984
Szint
Információ
Esemény üzenetszövege
A biztonsági fiókkezelő a %x régi jelszóváltozást észlelte, vagy az elmúlt 60 percben beállította az RPC-metódus hívásait.
-
A részletes eseménynaplózás konfigurálása után a rendszer minden alkalommal naplózza az 16985-ös eseményazonosítót a rendszer, amikor egy régi RPC-módszert használ a fiókjelszó módosítása vagy beállítása során.
16985-ös eseményazonosítóEseménynapló
Rendszer
Eseményforrás
Directory-Services-SAM
Eseményazonosító
16985
Szint
Információ
Esemény üzenetszövege
A biztonsági fiókkezelő észlelte egy hálózati ügyfélprogram régi típusú módosítás vagy RPC-módszerének használatát. Fontolja meg az ügyfél operációs rendszerének vagy alkalmazásának frissítését a módszer legújabb és biztonságosabb verziójának használatára.
Részletek:
RPC-módszer: %1
Ügyfél hálózati címe: %2
Client SID: %3
Felhasználónév: %4
Részletes eseményazonosító (16985) naplózásához a kiszolgálón vagy a tartományvezérlőn az alábbi beállításjegyzék-értéket kell át- vagy bekapcsolni.
Elérési út
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM
Típus
REG_DWORD
Érték neve
AuditLegacyPasswordRpcMethods
Érték
1 = a részletes naplózás engedélyezve van
0 vagy nincs jelen = a részletes naplózás le van tiltva. Csak összefoglaló események. (Alapértelmezett)
A SamrUnicodeChangePasswordUser4 (Opnum 73) szoftverben leírtak szerint, amikor az új SamrUnicodeChangePasswordUser4 módszert használja, az ügyfél és a kiszolgáló a PBKDF2-algoritmus segítségével a régi egyszerű szöveges jelszóból származtat egy titkosítási és visszafejtési kulcsot. Ennek az az oka, hogy a régi jelszó az egyetlen olyan gyakori titkos jelszó, amely a kiszolgáló és az ügyfél számára is ismert.
További információ a PBKDF2-ről: BCryptDeriveKeyPBKDF2 függvény (bcrypt.h).
Ha teljesítmény- és biztonsági okokból módosítania kell a beállításokat, módosíthatja az ügyfélprogram által a jelszó módosításához használt PBKDF2-iterációk számát, ha az ügyfélen beállítja az alábbi beállításjegyzékbeli értéket.
Megjegyzés: A PBKDF2-iterációk számának csökkentése csökkenti a biztonságot. Nem javasoljuk, hogy a szám az alapértelmezett értékről ússa le. Azt javasoljuk azonban, hogy a lehető legtöbb PBKDF2-iterációt használja.
|
Elérési út |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM |
|
Típus |
REG_DWORD |
|
Érték neve |
PBKDF2Iterations |
|
Érték |
Minimum 5000 és legfeljebb 1 000 000 |
|
Alapértelmezett érték |
10,000 |
Megjegyzés: A PBKDF2 nem használható jelszókészlet-műveletekhez. Jelszókészlet-műveleteknél az SMB-munkamenet kulcsa az ügyfél és a kiszolgáló közötti megosztott titkos kulcs, amely a titkosítási kulcsok származtatásának alapjaként szolgál.
További információ: SMB-munkamenetkulcs megszerzése.
Gyakori kérdések
A visszalépés akkor történik, ha a kiszolgáló vagy az ügyfél nem támogatja az AES-t.
A frissített kiszolgálók az RC4-es régebbi módszerek használata esetén naplóznak eseményeket.
Jelenleg nincs elérhető kényszerítési mód, de lehet, hogy a jövőben is érvénybe lép. Nincs dátum.
Ha egy külső eszköz nem használja a SAMR protokollt, ez nem fontos. Az MS-SAMR protokollt implementáló külső gyártók választhatnak a implementálja ezt a lehetőséget. Ha kérdése van, forduljon a külső szállítóhoz.
Nincs szükség további módosításokra.
Ez a protokoll régi, és előre számítunk arra, hogy a protokoll használata nagyon alacsony. A régebbi alkalmazások ezeket az API-kat is használhatjak. Ezenkívül egyes Active Directory-eszközök (például az AD-felhasználók és a számítógépek mmC) SAMR-t is használnak.
nem. Csak az adott SAMR API-kat felhasználó jelszóváltozások érintik.
igen. A PBKDF2 olcsóbb, mint az RC4. Ha egyidejűleg sok jelszóváltozás történik a SamrUnicodeChangePasswordUser4 API-t hívó tartományvezérlőn, az hatással lehet az LSASS processzorterhelésére. Szükség esetén finomhangolhatja a PBKDF2 iterációkat az ügyfeleken, de nem javasoljuk az alapértelmezett értékről való csökkenést, mert ez csökkenti a biztonságot.
Hivatkozások
Hitelesített titkosítás AES-CBC-vel és HMAC-SHA-val
Harmadik felektől származó információkra vonatkozó jognyilatkozat
Külső kapcsolattartási adatokat adunk meg, hogy technikai támogatást talál. Ezek a kapcsolattartási adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a külső felek kapcsolattartási információinak pontosságát.
